Защита персональных данных работника

Работа кадровой службы с персональными данными

В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь "оседает" весь объем сведений о работниках. Вот почему процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в этой службе.

Правила ведения конфиденциального делопроизводства должны применяться в первую очередь в отношении личных дел сотрудников, в которых содержатся персональные данные. Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении. Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных дел.

Работники отдела кадров должны помнить, что личные дела сотрудников должны храниться строго отдельно от всех других документов в закрывающихся шкафах или ящиках. Необходимо иметь в виду также то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения. Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.

Отделу кадров целесообразно вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Принципиальным требованием правил работы с персональными данными является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Также следует незамедлительно сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.

Более того, в соответствии с частью 3 статьи 57 Трудового кодекса условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.

Система защиты конфиденциальных сведений должна предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.

Как показывает опыт, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутрифирменного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.

Передача персональных данных работников

Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

Контроль защиты информации

Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководите­лям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами контроля могут быть:

      аттестация работников;

      отчеты руководителей подразделений о работе подразделений и состоянии си­стемы защиты информации;

      регулярные проверки руководством фирмы и службой безопасности соблю­дения работниками требований по защи­те информации;

      самоконтроль.

Аттестация работников представляет­ся одной из наиболее действенных форм контроля их деятельности как в профес­сиональной сфере (исполнительность, ответственность, качество и эффектив­ность выполняемой работы, профессио­нальный кругозор, организаторские спо­собности, преданность делу организации и т. д.), так и в сфере соблюдения инфор­мационной безопасности фирмы.

В части соблюдения требований по защите информации проверяется зна­ние работником соответствующих нормативных и инструктивных доку­ментов, умение применять требова­ния этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными доку­ментами, умение общаться с посторон­ними лицами, не раскрывая секретов фирмы и т.д.

По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комис­сии о поощрении, переаттестации, повы­шении в должности или увольнении со­трудников. Аттестационная комиссия может также выносить определение об от­странении сотрудника от работы с информацией и документами, составляющи­ми секреты фирмы.

Другой формой контроля является заслушивание руководителей структур­ных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоя­нии системы защиты информации и вы­полнении ее требований работниками подразделений. Одновременно на сове­щании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы.

Формой контроля являются также ре­гулярные проверки выполнения сотруд­никами (в том числе хорошо работающи­ми) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направле­ний, заместителями первого руководите­ля и работниками службы безопасности.

Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль состоит в проверке са­мими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных поло­жений, а также в немедленном информи­ровании службы безопасности и непос­редственного руководителя о фактах утери документов, утрате по какой-либо причине ценной информации, разглаше­нии лично или другими сотрудниками сведений, составляющих секреты фирмы, нарушении работниками порядка защи­ты информации.

При работе с персоналом фирмы следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к сек­ретам фирмы. Следует учитывать, что эти работники могут быть посредни­ками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения доку­ментов, снятии с них копий и т.п.

Кроме того, необходимо помнить, что работники, владеющие конфиденциаль­ной информацией, вынуждены действо­вать в рамках требований, регламентиро­ванных инструкцией по обеспечению режима конфиденциальности. Ограниче­ние свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности чело­века в общении путем обмена информа­цией. В связи с этим особенно важно, что­бы психологический настрой коллектива и отдельных работников всегда находил­ся в центре внимания руководства фир­мы и службы безопасности.

В случае установления фактов невы­полнения любым из руководителей или работников требований по защите ин­формации к ним в обязательном порядке должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важ­но, чтобы наказание было неотвратимым и своевременным, не взирая на должнос­тной уровень работника и его взаимоот­ношения с руководством фирмы.

Одновременно с виновным лицом от­ветственность за разглашение сведений, составляющих секреты фирмы, несут ру­ководители фирмы и ее структурных под­разделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспе­чивающих информационную безопас­ность всех видов деятельности фирмы.

Информационная база для контроля работы персонала, владеющего конфи­денциальной информацией, формирует­ся на основе анализа степени осведом­ленности работников в секретах фирмы. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персона­лом конфиденциальной информации.

Объектами комплексного аналитичес­кого исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов рас­пространения конфиденциальной инфор­мации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный кон­троль безопасности ценной информации.

Одновременно подлежат специально­му (экстремальному) учету все замечен­ные несанкционированные или ошибоч­ные действия персонала с документами и информацией, нарушения системы до­ступа к информации и правил работы с конфиденциальными документами и ба­зами электронных данных. Подобные факты подлежат оперативному, тщатель­ному сравнительному анализу, а резуль­таты анализа должны докладываться не­посредственно первому руководителю фирмы.

В целях превентивного контроля рекомендуются следующие учетные и аналитические действия по отноше­нию к персоналу, который обладает или может обладать конфиденциаль­ной информацией:

        анализ реального состава известной персоналу конфиденциальной информа­ции и динамики ее распределения по структурным подразделениям фирмы;

        анализ степени владения конфиденци­альной информацией руководством фир­мы, руководителями структурных под­разделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;

        анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работни­ку с целью завладеть ценной информаци­ей фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);

        анализ эффективности защитных мер, предпринятых по отношению к персона­лу, их действенности в обычных услови­ях и при активных действиях злоумыш­ленника.

Своевременный учет состава конфи­денциальной информации, известной каждому из работников фирмы, является наиболее информативной частью анали­тической работы в целом. Учитываются любые контакты любого работника фир­мы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету вы­явленное несанкционированное озна­комление с информацией, к которой ра­ботник не имел разрешения на доступ, в том числе несанкционированное озна­комление с информацией работника, во­обще не имеющего допуска для работы с конфиденциальной информацией.